• Registrarse
  • Iniciar sesión


  • Resultados 1 al 2 de 2

    Virus de USB ¿.Trashes... Recycler?

    Buenas tardes, tengo un problema con un virus que infectó mi ordenador mediante mi USB (el cual se infectó en la pc de un amigo). La verdad no sé exactamente el nombre de este virus, ...

    1. #1
      Usuario Avatar de newkeandrebell
      Registrado
      oct 2014
      Ubicación
      Perú
      Mensajes
      1

      Virus de USB ¿.Trashes... Recycler?

      Buenas tardes, tengo un problema con un virus que infectó mi ordenador mediante mi USB (el cual se infectó en la pc de un amigo). La verdad no sé exactamente el nombre de este virus, cuando investigué acerca de él en internet, la mayoría de información que logré encontrar es acerca de un virus que toma el nombre de la carpeta Recycler, el cuál te convierte tus archivos del USB en accesos directos, pero este no es mi caso, ya que ninguno de mis archivos y/o carpetas del USB o de mi ordenador (el cual también se infectó) se volvieron accesos directos, PERO creo que es necesario destacar que el USB de un amigo que también se conectó al mismo PC SI se volvieron accesos directos sus archivos y carpetas. En mi caso, todos mis archivos y carpetas se guardaron en una carpeta oculta llamada .Trashes


      Como se puede apreciar en esa imágen, la única carpeta oculta es ".Trashes"

      En la raíz del USB también se encuentran otras cosas no ocultas, como la carpeta System Volume Information, que contiene en su interior algo llamado "IndexerVolumeGuid". La fecha de creación de ésta data de el mismo día en el que el usb se infectó, por lo que creo que vendría a ser el virus que está molestando o parte de él.
      La verdadera carpeta System Volume Information se encuentra dentro de .Trashes (la identifico porque su fecha de creación coincide con la que en la cual utilicé el USB por primera vez) y también contiene el "IndexerVolumeGuid" (con la misma fecha de creación que la carpeta de System Volume Information que no es el virus).
      El archivo remover.bat, es uno que yo hice con bloc de notas con la ayuda de unos tutoriales de youtube que supuestamente me ayudarían a eliminar el virus, pero la verdad no he visto que haga nada (solo me permitía ver las carpetas ocultas)
      El "AUTORUN.INF" no estoy seguro de que será, cabe destacar que tiene una fecha de creación de dos días después del primer uso del USB.



      Dentro de ".Trashes" también encontré una copia de todos los archivos ppt que tenía hasta el momento de la infección, cuyos nombres empiezan con ~$ y pesan 1 KB, no los ejecuté, porque estoy seguro de que también es obra del virus.
      Otra cosa importante que encontré dentro de .Trashes, son dos carpetas que jamás había visto, una oculta, y la otra no (personalmente es algo raro, porque de por si .Trashes ya es una carpeta oculta). Ambas tienen nombre de números de tres cifras y contienen un archivo de extensión "js" de nombre reohcvj.js y mqxwd.js

      Eso es todo lo que puedo decir de mi USB infectado, puedo usar los archivos que contenía con total normalidad (activando la opción de mostrar carpetas ocultas para acceder a .Trashes).
      El mayor problema es mi pc, ésta también quedó infectada por el virus al momento de conectar el USB, ¿cómo lo se? pues al iniciarse se demora más ya que cuando inicié el ordenador después de conectar el USB se inicia también una aplicación con el siguiente ícono cuyo nombre desconozco:


      Además mi antivirus Kaspersky 2013 (con licencia comprada original que venció hace dos semanas), después del primer contaco del USB con el ordenador, lanzaba como dos notificaciones cada 15 segundos cada vez que insertaba el USB infectado (pues lo necesitaba seguir usando para seguir trabajand con su contenido), haciendo referencia a la carpeta System Volume Information ubicada en la raíz del mismo. Así como también me lanzaba otra que decía que había un problema con explorer.exe (el explorador de Windows, mas éste nunca colapsó). Y lo más importante, es que me lanzaba de vez en cuando notificaciones que me indicaban la siguiente dirección del disco local C: C:\Users\User\AppData\Roaming\lrvoyn (para ingresar a AppData de la dirección mencionada tuve que activar la visualización de elementos ocultos, lo mismo hice para ingresar a Irvoyn). Lo que encontré en el interior de "Irvoyn" me llamó la atención, pues habían varios archivos con el mismo ícono de la aplicación que se inicia al encender el ordenador que mencioné anteriormente... aunque su fecha de creación data del año pasado, pero al mismo tiempo hay otros archivos cuya fecha de creación coinciden con el día en el que se conecto el USB infectado al ordenador (éstos archivos no tienen ícono), además también hay un archivo .js que tiene la fecha de ayer y el mismo peso (43 K) que los archivos .js dentro del USB mencionados anteriormente.


      Acá dejo la imágen de los archivos .js que aparecieron dentro del USB infectado por si desean comparar:


      En posts relacionados a este tema de estos mismos foros vi que recomendaban pasar el USBFix, así que aquí dejo el reporte:
      ############################## | UsbFix V 7.183 | [Limpiar]

      Usuario: User (Administrador) # TOSHIBA
      Actualizado el 30/09/2014 por El Desaparecido - SosVirus
      Comenzó a 13:11:17 | 19/10/2014

      Sitio web : Descargar UsbFix (Gratis) - Official
      Changelog : Mise à jours Archives - UsbFix
      Asistencia : Foro de Virus y Spywares
      Upload Malware : SosVirus • Upload Malware
      Détection en directo : http://como-eliminar.net/
      Contacto : Contáctanos

      ################## | System information |

      MB: TOSHIBA (TOSHIBA)
      CPU: Intel(R) Core(TM) i5-3337U CPU @ 1.80GHz
      RAM -> [Total : 8094 Mo | Free : 3561 Mo]
      Bios: TOSHIBA
      Boot: Normal boot

      OS: Microsoft™ Windows 8.1 (6.3.9600 64-Bit)
      WB: Internet Explorer : 11.00.9600.16384
      WB: Google Chrome : 37.0.2062.124
      WB: Mozilla Firefox : 32.0.3

      ################## | Security Information |

      AV: Kaspersky Anti-Virus [(!) Desactivado |(!) No actualizado]
      AV: Windows Defender [(!) Desactivado |(!) No actualizado]
      AS: Kaspersky Anti-Virus [(!) Desactivado |Actualizado]
      AS: Windows Defender [(!) Desactivado |(!) No actualizado]
      FW: Windows Firewall [Activado]
      SC: Security Center [Activado]
      WU: Windows Update [Activado]

      ################## | Disk Information |

      C:\ (%SystemDrive%) -> Disco fijo # 687 Gb (227 Gb libre(s) - 33%) [TI10659100C] # NTFS
      D:\ -> CD-ROM # 200 Mb (0 Mb libre(s) - 0%) [ICPNA_Basic10] # CDFS
      G:\ -> Disco extraíble # 15 Gb (10 Gb libre(s) - 66%) [] # FAT32

      ################## | Búsqueda genérica |

      Borrado! G:\remover.bat.lnk
      Borrado! G:\antivirus.bat.lnk
      Borrado! G:\antivirus.bat
      No suprimido ! ... Tentative au redémarrage... G:\Autorun.inf

      (!) Archivos temporales suprimido. (5368.67808055878 MB)

      ################## | Registro |


      ################## | Regedit Run |

      F2 - HKLM\..\Winlogon : [Shell] explorer.exe
      F2 - [x64] HKLM\..\Winlogon : [Shell] explorer.exe
      F2 - HKLM\..\Winlogon : [Userinit] userinit.exe
      F2 - [x64] HKLM\..\Winlogon : [Userinit] C:\Windows\system32\userinit.exe,
      04 - HKCU\..\Run : [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
      04 - HKCU\..\Run : [GarenaPlus] "C:\Program Files (x86)\Garena Plus\GarenaMessenger.exe" -autolaunch
      04 - HKCU\..\Run : [EPSON TX210 Series] C:\WINDOWS\system32\spool\DRIVERS\x64\3\E_IATIFDL.EXE /FU "C:\WINDOWS\TEMP\E_S4D45.tmp" /EF "HKCU"
      04 - HKCU\..\Run : [uTorrent] "C:\Users\User\AppData\Roaming\uTorrent\uTorrent.exe" /MINIMIZED
      04 - HKCU\..\Run : [Office Timeline Performance Helper] C:\Program Files (x86)\Office Timeline\2013\OfficeTimelineStartup.exe
      04 - HKCU\..\Run : [Skype] "C:\Program Files (x86)\Skype\Phone\Skype.exe" /minimized /regrun
      04 - HKLM\..\Run : [AVP] "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2013\runner_avp.exe"
      04 - HKLM\..\Run : [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
      04 - HKLM\..\Run : [APSDaemon] "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe"
      04 - HKLM\..\Run : [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
      04 - HKLM\..\Run : [Aeria Ignite] "C:\Program Files (x86)\Aeria Games\Ignite\aeriaignite.exe" silent
      04 - HKLM\..\Run : [Adobe Creative Cloud] "C:\Program Files (x86)\Adobe\Adobe Creative Cloud\ACC\Creative Cloud.exe" --showwindow=false --onOSstartup=true
      04 - HKLM\..\Run : [AdobeCEPServiceManager] "C:\Program Files (x86)\Common Files\Adobe\CEPServiceManager4\CEPServiceManager.exe" -launchedbylogin
      04 - HKLM\..\Run : [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
      04 - HKLM\..\Run : [Acrobat Assistant 8.0] "C:\Program Files (x86)\Adobe\Acrobat 11.0\Acrobat\Acrotray.exe"
      04 - [x64] HKLM\..\Run : [IgfxTray] "C:\WINDOWS\system32\igfxtray.exe"
      04 - [x64] HKLM\..\Run : [HotKeysCmds] "C:\WINDOWS\system32\hkcmd.exe"
      04 - [x64] HKLM\..\Run : [Persistence] "C:\WINDOWS\system32\igfxpers.exe"
      04 - [x64] HKLM\..\Run : [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe -s
      04 - [x64] HKLM\..\Run : [TSleepSrv] C:\Program Files (x86)\TOSHIBA\System Setting\TSleepSrv.exe
      04 - [x64] HKLM\..\Run : [TODDMain] C:\Program Files (x86)\TOSHIBA\System Setting\TODDMain.exe
      04 - [x64] HKLM\..\Run : [TecoResident] C:\Program Files\TOSHIBA\Teco\TecoResident.exe
      04 - [x64] HKLM\..\Run : [TosWaitSrv] %ProgramFiles%\TOSHIBA\TPHM\TosWaitSrv.exe
      04 - [x64] HKLM\..\Run : [ThpSrv] C:\windows\system32\thpsrv /logon
      04 - [x64] HKLM\..\Run : [TCrdMain] C:\Program Files\TOSHIBA\Hotkey\TCrdMain_Win8.exe
      04 - [x64] HKLM\..\Run : [IAStorIcon] "C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIconLaunch.exe" "C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" 60
      04 - [x64] HKLM\..\Run : [AdobeAAMUpdater-1.0] "C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe"
      04 - HKU\S-1-5-21-2656297836-2061739992-896411215-1001\..\Run : [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
      04 - HKU\S-1-5-21-2656297836-2061739992-896411215-1001\..\Run : [GarenaPlus] "C:\Program Files (x86)\Garena Plus\GarenaMessenger.exe" -autolaunch
      04 - HKU\S-1-5-21-2656297836-2061739992-896411215-1001\..\Run : [EPSON TX210 Series] C:\WINDOWS\system32\spool\DRIVERS\x64\3\E_IATIFDL.EXE /FU "C:\WINDOWS\TEMP\E_S4D45.tmp" /EF "HKCU"
      04 - HKU\S-1-5-21-2656297836-2061739992-896411215-1001\..\Run : [uTorrent] "C:\Users\User\AppData\Roaming\uTorrent\uTorrent.exe" /MINIMIZED
      04 - HKU\S-1-5-21-2656297836-2061739992-896411215-1001\..\Run : [Office Timeline Performance Helper] C:\Program Files (x86)\Office Timeline\2013\OfficeTimelineStartup.exe
      04 - HKU\S-1-5-21-2656297836-2061739992-896411215-1001\..\Run : [Skype] "C:\Program Files (x86)\Skype\Phone\Skype.exe" /minimized /regrun

      ################## | UsbFix - Información |

      Info : ¿Cómo eliminar el virus de acceso directo en el disco flash ? (Video)
      Info : Virus de acceso directo en el disco flash, ¿Qué es?

      ################## | Hijack |

      Restorado! [H] G:\AUTORUN.INF

      ################## | C:\ %SystemDrive% - Disco fijo (NTFS) |

      [24/06/2014 - 20:08:20 | A | 0 Ko] - C:\AiOLog.txt
      [19/10/2014 - 10:47:33 | ASH | 6630480 Ko] - C:\hiberfil.sys
      [19/10/2014 - 10:47:39 | ASH | 1310720 Ko] - C:\pagefile.sys
      [19/10/2014 - 10:47:39 | ASH | 262144 Ko] - C:\swapfile.sys
      [17/10/2014 - 06:12:08 | D] - C:\Config.Msi
      [13/10/2014 - 20:36:46 | A | 472 Ko] - C:\LTTS_7-EngineFull.log
      [13/10/2014 - 20:38:57 | A | 2351 Ko] - C:\LTTS_7-SDK.log
      [13/10/2014 - 20:40:27 | A | 279 Ko] - C:\LTTS_7-Spanish.log
      [13/10/2014 - 20:42:33 | A | 272 Ko] - C:\LTTS_7-Jorge_HQ.log
      [13/10/2014 - 20:43:35 | A | 272 Ko] - C:\LTTS_7-Carlos_HQ.log
      [13/10/2014 - 20:45:38 | A | 336 Ko] - C:\LTTS_7-Diego_HQ.log
      [13/10/2014 - 20:46:36 | A | 265 Ko] - C:\LTTS_7-Esperanza_HQ.log
      [13/10/2014 - 20:48:13 | A | 272 Ko] - C:\LTTS_7-Carmen_HQ.log
      [13/10/2014 - 20:51:00 | A | 270 Ko] - C:\LTTS_7-Felipe_HQ.log
      [13/10/2014 - 21:01:20 | A | 277 Ko] - C:\LTTS_7-Leonor_HQ.log
      [13/10/2014 - 21:03:35 | A | 266 Ko] - C:\LTTS_7-Francisca_HQ.log
      [13/10/2014 - 21:35:14 | A | 281 Ko] - C:\LTTS_7-Ximena_HQ.log
      [13/10/2014 - 21:36:22 | A | 222 Ko] - C:\LTTS_7-Soledad_HQ.log
      [01/12/2006 - 23:37:14 | A | 884 Ko] - C:\msdia80.dll
      [18/06/2013 - 02:43:38 | A | 2363 Ko] - C:\amtlib.dll
      [18/01/2014 - 23:20:55 | SHD] - C:\$Recycle.Bin
      [25/07/2012 - 20:44:30 | RASH | 389 Ko] - C:\bootmgr
      [09/04/2013 - 23:35:43 | D] - C:\TOSHIBA
      [18/06/2013 - 05:18:29 | N | 0 Ko] - C:\BOOTNXT
      [15/07/2013 - 16:49:16 | D] - C:\sources
      [22/08/2013 - 07:45:52 | SHD] - C:\Documents and Settings
      [22/08/2013 - 08:22:35 | D] - C:\PerfLogs
      [04/10/2013 - 21:12:13 | RHD] - C:\MSOCache
      [04/10/2013 - 21:26:00 | D] - C:\TokensBackup
      [05/11/2013 - 21:38:17 | SHD] - C:\Recovery
      [11/12/2013 - 14:30:01 | D] - C:\Perfect World Entertainment
      [09/03/2014 - 18:55:53 | RD] - C:\Users
      [23/03/2014 - 22:08:01 | D] - C:\AeriaGames
      [06/04/2014 - 10:43:22 | D] - C:\Algebrator
      [23/06/2014 - 22:44:32 | D] - C:\UpdateChromeLinksLogs
      [21/07/2014 - 20:44:17 | N | 0 Ko] - C:\4897A3541419
      [27/09/2014 - 11:50:50 | D] - C:\Nueva carpeta
      [05/10/2014 - 20:33:47 | D] - C:\Windows
      [11/10/2014 - 23:36:58 | D] - C:\FFOutput
      [13/10/2014 - 21:38:47 | HD] - C:\ProgramData
      [13/10/2014 - 21:40:36 | D] - C:\Program Files (x86)
      [13/10/2014 - 21:40:38 | RD] - C:\Program Files
      [17/10/2014 - 18:21:56 | SHD] - C:\System Volume Information
      [19/10/2014 - 13:12:19 | D] - C:\UsbFix

      ################## | G:\ - Disco extraíble (FAT32) |

      [15/10/2014 - 13:14:30 | HD] - G:\.Trashes
      [16/03/2014 - 21:35:38 | H | 0 Ko] - G:\AUTORUN.INF
      [16/10/2014 - 08:34:40 | A | 0 Ko] - G:\remover.bat
      [15/10/2014 - 17:55:12 | D] - G:\System Volume Information

      ################## | Vaccin |

      C:\Autorun.inf -> Vacuna creada por UsbFix (El Desaparecido)
      G:\Autorun.inf -> Vacuna creada por UsbFix (El Desaparecido)

      ################## | E.O.F | SosVirus • SosVirus | Descargar UsbFix (Gratis) - Official |

      Aunque aún así en mi USB sigue esa carpeta .Trashes y mis archivos ocultos en ella, lo único en lo que noto que me ayudó el USBFix fue que ya no me salen las molestas notificaciones de Kaspersky.


      No sé si toooda esta info que puse sirva de algo, es que realmente quiero deshacerme de éste problema que me está atormentando, no puedo conectar nada ya a mi pc por eso.

      Ojalá me puedan ayudar.

    2. #2
      Ex-Colaborador Avatar de Gemsa_03
      Registrado
      feb 2012
      Ubicación
      Málaga-España
      Mensajes
      6.615

      Re: Virus de USB ¿.Trashes... Recycler?

      Hola newkeandrebell y a InfoSpyware.com

      Aconsejamos leer estos Temas


      Descarga (en el escritorio) IFS (InfoSpyware First Steps).

      • Cierra todos los programas que tengas abiertos.
      • Ejecuta IFS.exe (Si usas Windows Vista/7 u 8 presiona clic derecho y selecciona "Ejecutar como Administrador.")
      • Pulsar en el botón Analizar, y espera a que se realice el proceso.
      • Al terminar se abrirá un informe, que debes copiar y pegar(entero) en tu próxima respuesta.
      • El informe también se puede encontrar en "C:\IFS.log"

      Realiza el procedimiento que te pongo (y en este orden). Es muy importante que no tengas ningún Programa/Aplicación [email protected] mientras se ejecutan los Análisis.

      ► Descarga Adwcleaner / Manual de AdwCleaner.y lo trasladas al Escritorio.
      ► Descarga Junkware Removal Tool | InfoSpyware y lo trasladas al Escritorio. Manual de Junkware Removal Tool
      ► Descarga/Actualiza CCleaner - Descargar | InfoSpyware / Manual de CCleaner
      ► Descarga, actualiza Malwarebytes Anti-Malware 2.0.3 | InfoSpyware, / Manual de Malwarebytes Anti-Malware 2
      ► Descarga ESET SMART INSTALLER y lo trasladas al Escritorio./ http://www.forospyware.com/t133936.html
      1. Malwarebytes
        • Realiza un Análisis de la Personalizado con tu USB insertado y seleccionando TODAS LAS UNIDADES QUE SALGAN, actualizando si te lo pide.
        • Seleccionando "TODOS a Cuarentena" para enviarlo a la cuarentena y Reinicias el sistema.
        • En el apartado del del manual "Historial" encontrarás el informe del MBAM, que debes copiar y pegar en tu próxima respuesta, para analizarlo.


      2. Ccleaner
        • En el Botón "Opciones" (a la izquierda) "Avanzadas" desmarca la opción que se ve en la IMAGEN:


        • Utiliza su función LIMPIADOR / REGISTRO para borrar cookies, temporales y archivos de registro obsoletos (haciendo copia de seguridad cuando te lo pida) IMAGEN CCLEANER.


      3. ESET SMART
      4. Adwcleaner
        • Desactiva temporalmente tu Antivirus
          Cierra también todos los programas que tengas abiertos.
        • Ejecuta Adwcleaner.exe (Si usas Windows Vista/7 u 8 presiona clic derecho y selecciona "Ejecutar como Administrador.")
        • Pulsar en el botón Escanear, y espera a que se realice el proceso, inmediatamente pulsa sobre el botón Limpiar.
        • Espera a que se complete y sigue las instrucciones, si te pidiera Reiniciar el sistema Aceptas.
        • Guardas el reporte que te aparecerá, para copiarlo y pegarlo en tu próxima respuesta.
        • El informe también se puede encontrar en "C:\AdwCleaner\AdwCleaner[S1].txt"


      5. JRT.exe
        • Desactiva temporalmente el Antivirus
        • Ejecuta JRT.exe, (en Windows 7 u 8 ejecutar como "Administrador")
        • Pulse cualquier tecla para continuar y espera pacientemente a que termine su proceso.
        • Al finalizar, un registro (JRT.txt) se guardara en el escritorio y se abrirá automáticamente.
        • Copia y pegue su contenido de JRT.txt en su próxima respuesta


      • Adjuntas Informes de:
        • IFS
        • Adwcleaner
        • JRT
        • Malwarebytes' de la Pestaña Registros del Programa.
        • ESET Online
        • Comenta cómo va el Equipo

      No olvides comentar cómo va el Equipo en relación al Problema planteado
      Un saludo.
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.